南京潤冉科技有限公司是一家專業(yè)從事認證咨詢服務(wù)的科技公司，主要從事ISO9000、ISO14000、OHSAS18000 ISO27000 ISO22000 ISO13485 TS16949 HSE 國軍標(biāo)體系認證咨詢，中國CCC強制性產(chǎn)品認證自愿性產(chǎn)品認證國外的產(chǎn)品認證CEUL特種設(shè)備許可證工業(yè)產(chǎn)品許可證QS食品生產(chǎn)許可證，全國省級各類科技項目申報名牌申報清潔生產(chǎn)審核，企業(yè)管理等咨詢.潤冉擁有一支高效率的成熟的專家隊伍，依靠悉心周到的服務(wù)和豐富的人力資源，我們可以為您的企業(yè)和產(chǎn)品通過相應(yīng)的認證和企業(yè)形象提升提供準(zhǔn)確、快捷、優(yōu)質(zhì)的服務(wù)。

ISO27000認證

信息安全管理體系的認證過程

1 認證的準(zhǔn)備
在認證之前，認證方與被認證方都要進行相應(yīng)的準(zhǔn)備活動。被認證方需要按照ISO/IEC27001建立信息安全管理體系，在確認滿足認證基本條件的情況下，被認證方向認證機構(gòu)遞交正式申請；認證機構(gòu)對認證方的申請資料進行初步檢查，確定是否受理申請。如受理申請，認證機構(gòu)將評估認證費用和正式審核時間。
（1）組織可以尋求認證的類型<BR>&#61548;&nbsp;整個組織，包括所有的信息設(shè)施、信息系統(tǒng)和服務(wù)。<BR>&#61548;&nbsp;特定的信息系統(tǒng)。

（2）組織為認證要做的準(zhǔn)備工作
文件化的信息安全方針、策略、程序、適用性聲明及其他文件。
確定ISMS范圍，以及此范圍內(nèi)的組織結(jié)構(gòu)、人員組成、業(yè)務(wù)場所的數(shù)目、功能、信息安全的應(yīng)用、業(yè)務(wù)特性、風(fēng)險程序等相關(guān)材料。
己建立適當(dāng)?shù)陌踩�組織和必要的基礎(chǔ)設(shè)施，與信息安全相關(guān)的員工己落實明確的安全責(zé)任的相關(guān)說明資料。
ISMS范圍內(nèi)業(yè)務(wù)體系的描述，與外界的接口;法律、法規(guī)、合同的附加要求
采用了有效的風(fēng)險評估和風(fēng)險管理方法，對所有信息系統(tǒng)進行了風(fēng)險評估。
根據(jù)ISO/IEC27001的標(biāo)準(zhǔn)要求，建立有效文件，將所有類型的安全風(fēng)險和BS7799控制聯(lián)系起來，并成功地選擇了安全控制目標(biāo)與控制措施。
組織有適當(dāng)?shù)娘L(fēng)險接受的處理程序
文件化的信息安全檢查列表，可以證明安全控制正在被正確地、有效地實施，并經(jīng)過相關(guān)測試。
文件化的安全維護和管理的過程。
文件化的體系審核和管理評審報告。

2 認證的實施
（1） 第一階段―文件審核與初訪
第一階段主要是從總體上了解受審核方ISMS的基本情況，確認受審核方是否具備認證審核條件，為第二階段的審核策劃提供依據(jù)。審核的重點在于審核ISMS文件是否符合BS7799標(biāo)準(zhǔn)的要求。了解受審核方的活動、產(chǎn)品或服務(wù)的全過程，判斷風(fēng)險評估與風(fēng)險管理狀況，并對受審核方ISMS的策劃及內(nèi)審情況等進行初步審查。

文件審核
通常文件審核包括以下內(nèi)容：
認證范圍、適用性聲明
信息安全方針、策略、程序、作業(yè)指導(dǎo)書
信息系統(tǒng)環(huán)境文件（信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、信息系統(tǒng)相關(guān)人員）
風(fēng)險評估與風(fēng)險管理文件
業(yè)務(wù)持續(xù)性計劃
體系審核和管理評審報告。
法律、法規(guī)、合同的要求
信息安全記錄
第一階段現(xiàn)場審核準(zhǔn)備
確定現(xiàn)場審核日期
編制第一階段現(xiàn)場審核計劃
;編制檢查表
第一階段現(xiàn)場審核
見面會
審核組與組織的管理者、信息安全管理經(jīng)理及有關(guān)人員會面，說明第一階段審核的目的、范圍、內(nèi)容、程序和方法，識別評審難點，并陳述保密聲明。
現(xiàn)場檢查<
與信息安全管理經(jīng)理交談，了解組織基本情況以及信息安全管理體系整體運行情況
到現(xiàn)場調(diào)查，了解信息資產(chǎn)、威脅、脆弱點識別是否有遺漏，風(fēng)險評估與風(fēng)險管理程序是否適宜，主要方式是審核文件、查閱記錄。
檢查組織的法律、法規(guī)獲取識別情況以及法律、法規(guī)符合性
檢查并評審組織的內(nèi)審情況
檢查并評審組織的ISMS策劃的可行性和適用性：包括ISMS方針、策略、程序、控制目標(biāo)、控制措施、運行策劃等。
證實管理評審已實施
開不符合項報告
交流會現(xiàn)場審核結(jié)束前，召開交流會，審核組長向受審企業(yè)通報第一階段審核結(jié)論，指出存在的不符合項，提出糾正要求，并確定第二階段審核的條件和具體事宜。
編制第一階段審核報告

第一階段審核完成后，審核組應(yīng)編制審核報告，報告內(nèi)容包括審核的實施情況與審核結(jié)論、發(fā)現(xiàn)問題及下一步的工作重點。
第二階段―全面審核與評價
第二階段審核是對信息安全管理體系的全面審核與評價，目的是驗證組織的信息安全管理體系是否按照認證標(biāo)準(zhǔn)與組織體系文件要求予以有效實施，組織的安全風(fēng)險是否被控制在組織可以接受的水平內(nèi)，根據(jù)審核發(fā)現(xiàn)對組織的信息安全管理體系運行狀況是否符合標(biāo)準(zhǔn)與文件規(guī)定做出判斷，并據(jù)此對受審核方能否通過信息安全管理體系認證做出結(jié)論。
第二階段的審核準(zhǔn)備
審核組綜合考慮第一階段審核結(jié)論及受審核方對不符合項的糾正情況，確定進行第二階段審核的時機和條件是否成熟。在此基礎(chǔ)上，審核組進行第二階段審核的準(zhǔn)備工作：
確定現(xiàn)場審核日期
編制第二階段現(xiàn)場審核計劃
編制檢查表
第二階段的現(xiàn)場審核
首次會議
現(xiàn)場檢查、收集審核證據(jù)
內(nèi)部評定
審核組（受審核申請方不參加）匯總分析審核證據(jù)，確定不符合項，提出審核結(jié)論。
末次會議
審核組向受審核的企業(yè)領(lǐng)導(dǎo)，包括信息安全管理經(jīng)理等，報告審核過程總結(jié)情況，發(fā)現(xiàn)的不符合項、審核結(jié)論、現(xiàn)場審核結(jié)束后的有關(guān)